本發(fā)明屬于信息安全領(lǐng)域，具體涉及一種融合多檢測結(jié)果的惡意程序檢測方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)應(yīng)用的不斷普及和發(fā)展，涌現(xiàn)了大量基于網(wǎng)絡(luò)的服務(wù)，使網(wǎng)絡(luò)空間成為繼陸、海、空、天后的第五疆域。網(wǎng)絡(luò)空間安全也成為了全球共同關(guān)注的熱點話題，受到廣泛關(guān)注。在各類網(wǎng)絡(luò)安全事件中，以計算機(jī)病毒為代表的惡意程序已經(jīng)成為威脅網(wǎng)絡(luò)和信息安全的主要因素之一。惡意程序通常是指帶有攻擊意圖所編寫的一段程序，主要包括：計算機(jī)病毒、陷門、邏輯炸彈、特洛伊木馬、蠕蟲等。從某種意義上說，21世紀(jì)是計算機(jī)病毒與反病毒激烈角逐的時代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀(jì)計算機(jī)病毒的發(fā)展趨勢。

一般來講，惡意代碼檢測方法可以分為兩種：一種是靜態(tài)檢測方法，另一種是動態(tài)檢測方法。

靜態(tài)檢測方法主要包括：基于特征碼的檢測法和啟發(fā)式掃描方法等。

動態(tài)分析方法主要包括：系統(tǒng)監(jiān)控法和動態(tài)跟蹤法等。

基于特征碼的檢測法是現(xiàn)有的商業(yè)反病毒軟件中廣泛應(yīng)用的一種方法，幾乎現(xiàn)有的所有反病毒軟件都具有這一功能。首先，采集已知病毒樣本，抽取其特征碼并將其納入病毒數(shù)據(jù)庫。檢測時，打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征碼，由于特征碼與病毒一一對應(yīng)，便可以斷定，被查文件中患有何種病毒。但這種方法不能檢測未知病毒；搜集已知病毒的特征代碼，費用開銷大；惡意代碼的種類、數(shù)量越來越多，特征庫的維護(hù)也變得越來越困難，并且過多的特征碼會影響檢測效率。啟發(fā)式掃描技術(shù)其實就是對基于特征碼檢測方法的一種改進(jìn)，這種方法不僅能檢測出己知的惡意代碼，還能識別出一些變種、變形和未知的惡意代碼。但是該方法仍然離不開特征碼的提取。

系統(tǒng)監(jiān)控法—般是將惡意代碼運行在一個可控的環(huán)境中，通過對比系統(tǒng)某些標(biāo)志性的狀態(tài)信息在執(zhí)行惡意代碼前后發(fā)生的變化來確定惡意代碼的功能和目的。系統(tǒng)監(jiān)控方法可以監(jiān)控程序?qū)ο到y(tǒng)資源的一切操作，實時檢測出狀態(tài)變化，所以能夠快速的發(fā)現(xiàn)已知和未知的惡意代碼。動態(tài)跟蹤法是指實時監(jiān)控惡意代碼運行時的動態(tài)行為，從而分析惡意代碼的功能和目的。這種檢測方法能有效地分析出惡意代碼的行為，但是其實現(xiàn)的技術(shù)難度比較大。此外，動態(tài)分析方法的高度敏感性可能產(chǎn)生誤報警、不能識別病毒名稱，不利于感染文件病毒的清除?，F(xiàn)有的殺毒軟件大多都具有行為監(jiān)測的功能，但往往由于配置不當(dāng)而形同虛設(shè)。

網(wǎng)絡(luò)時代的惡意程序更隱秘，潛伏程度更高，傳播范圍更廣，帶來的損失更為嚴(yán)重。加上代碼混淆技術(shù)的流行，惡意程序自動生成引擎的廣泛傳播，造成惡意程序數(shù)目不斷增長，對網(wǎng)絡(luò)空間安全造成了嚴(yán)重的威脅。因此，研制新型惡意程序檢測技術(shù)對確保網(wǎng)絡(luò)空間安全具有重要意義。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是針對基于特征碼的檢測方法不能檢測出未知惡意程序和已知惡意程序變種的問題，提供一種融合多種檢測結(jié)果的惡意程序檢測方法。對未知惡意程序及已知惡意程序具有良好的檢測效果，為惡意程序的檢測及與現(xiàn)有檢測方法的融合提供了一種有益的方法。

為實現(xiàn)本發(fā)明目的，本發(fā)明的技術(shù)方案如下：一種融合多檢測結(jié)果的惡意程序檢測方法，包括以下步驟:

步驟S1、建立字符串集合：所述建立字符串集合包括在計算機(jī)系統(tǒng)中收集正常程序，構(gòu)成正常程序集合Bp，收集一部分有代表性的惡意程序構(gòu)成惡意程序集Mp；在正常程序集合Bp中選取一部分常見的程序構(gòu)成正常程序子集Bp1，在惡意程序集合Bp中選取一部分常見的程序構(gòu)成惡意程序子集Mp1；在正常程序子集Bp1和惡意程序子集Mp1中提取長度為len的、不重復(fù)的十六進(jìn)制字符串，并將其添加到字符串集合中，len的取值范圍為2-20字節(jié)。

步驟S2、計算每個字符串的信息增益，選取特定數(shù)量的字符串構(gòu)成基因庫：即計算字符串集合中的每個十六進(jìn)制字符串的信息增益值，然后按信息增益從大到小按降序進(jìn)行排序，選取信息增益量較大的N個十六進(jìn)制字符串構(gòu)成基因庫，N大于或等于100小于或等于2000。

步驟S3、提取正常程序的特征向量，形成正常程序向量空間：具體為基于步驟S2建立的基因庫，對計算機(jī)系統(tǒng)中的正常程序建立特征向量，并進(jìn)一步構(gòu)建在當(dāng)前基因庫下的正常程序的向量空間。

步驟S4、生成惡意程序檢測器：即基于步驟S3建立的正常程序向量空間，進(jìn)一步生成覆蓋惡意程序特征向量空間的惡意程序檢測器。

步驟S5、初步判定待檢程序是否為惡意程序：即對每一個待檢測程序進(jìn)行特征提取,生成待檢測程序的特征向量,計算待檢測程序的特征向量與檢測器之間的r連續(xù)位距離,若所述r連續(xù)位距離大于或等于設(shè)定的閾值,判定待檢測程序為惡意程序,否則為正常程序。

步驟S6、根據(jù)融合規(guī)則判斷待檢程序是否為惡意程序：具體為在步驟S1采用不同的值，通過步驟S2得到不同長度的基因庫，重復(fù)步驟S3至步驟S5，對待檢測程序再次進(jìn)行檢測,得到新的檢測結(jié)果，并至少重復(fù)一次，再次得到新的檢測結(jié)果，由多個檢測結(jié)果，運用融合規(guī)則，計算其為正常程序或者是惡意程序的基本信任分配，最終判定待檢測程序是惡意程序或者是正常程序。

進(jìn)一步的，步驟1所述的建立字符串集合的步驟還包括：

步驟S11、對正常程序子集Bp1和惡意程序子Mp1中的每一個程序p，從它的開始位置每次滑動一個字節(jié)，依次提取長度為len的十六進(jìn)制字符串，直至程序結(jié)尾為止。

步驟S12、對提取到的每一個十六進(jìn)制字符串進(jìn)行判定其是否出現(xiàn)在長度為len的字符串集合中，若是，則執(zhí)行驟S13，若否則執(zhí)行步驟S14。

步驟S13、丟棄。

步驟S14、將此字符串加入到字符串集合中。

步驟S15：改變基因長度len的值，重復(fù)以上操作，得到不同長度的字符串集合，len的取值范圍為2至20。

進(jìn)一步的，步驟2所述的建立基因庫的步驟還包括：

步驟S21、定義信息增益IG(Information Gain)為：

其中，C_i＝{Bp,Mp}，Str表示提取的十六進(jìn)制字符串,v_Str＝1表示字符串在程序中出現(xiàn)，否則v_Str＝0，P(v_Str,C)為字符串取值為v_Str時在集合C中的比例，P(v_Str)為Str取值為v_Str時在整個測試集中的比例，P(C)表示程序?qū)儆贑的概率，對長度相同的字符串集合中的每一個字符串，按照上式計算其信息增益的值。

步驟S22、對信息增益按照降序進(jìn)行排列，選取信息增益值較大的N個十六進(jìn)制字符串作為基因庫，基因庫的大小N取值范圍為：100-2000。

步驟S23：對不同長度字符串集合重復(fù)以上操作，通過對不同長度的字符串集合的大小進(jìn)行削減后得到不同長度的基因庫。

進(jìn)一步的，步驟3還包括以下步驟：

步驟S31、對每一個正常程序集合中的程序從第一個字節(jié)開始，提取長度為len的十六進(jìn)制字符串,每次向后滑動一個字節(jié)，直到文件結(jié)尾為止。

步驟S32、判斷長度為len的基因庫中是否存在提取的十六進(jìn)制字符串；如是，則執(zhí)行步驟S34，若否則執(zhí)行步驟S33。

步驟S33、采用默認(rèn)值0，不做任何處理。

步驟S34、將特征向量的對應(yīng)位設(shè)置為1。

步驟S35、對正常程序集合中的每個程序重復(fù)以上操作，則可以構(gòu)建正常程序在當(dāng)前基因庫下的正常程序向量空間。

步驟S36：對正常程序集合中的所有程序依次用不同長度的基因庫進(jìn)行特征提取，構(gòu)建出不同長度基因庫下的正常程序向量空間。

進(jìn)一步的，步驟4所述生成惡意程序檢測器還包括以下步驟：

步驟S41、隨機(jī)生成一個維數(shù)與基因庫基因數(shù)量相等的二進(jìn)制串，將其視為一個可能的檢測器，計算該檢測器與正常程序向量空間中的每個向量的r連續(xù)位距離值。

步驟S42、判斷檢測器是否與所有正常程序向量空間中的向量的r連續(xù)位距離值是否小于預(yù)先設(shè)定的閾值，若是，則執(zhí)行步驟S44，若否，則執(zhí)行步驟S43。

步驟S43、丟棄。

步驟S44、加入檢測器集合。

步驟S45、判斷生成的檢測器數(shù)量達(dá)到預(yù)定的值，預(yù)定的值為300-5000，若是，則執(zhí)行步驟S46，若否，則執(zhí)行步驟S41繼續(xù)生成檢測器。

步驟S46、對不同長度基因庫生成的正常程序向量空間，重復(fù)以上操作，產(chǎn)生與不同基因庫對應(yīng)的檢測器。

進(jìn)一步的，步驟5所述初步判定待檢程序是否為惡意程序包括以下步驟：

步驟S51:對每一個待檢測程序從第一個字節(jié)開始，提取長度為len的十六進(jìn)制字符串,每次滑動一個字節(jié)，直到文件結(jié)尾為止。

步驟S52，判斷長度為len基因庫中是否存在提取的十六進(jìn)制字符串；若是表明提取的十六進(jìn)制字符串出現(xiàn)在了基因庫中，執(zhí)行步驟S54，若否，則表明提取的十六進(jìn)制字符串沒有出現(xiàn)在基因庫中，執(zhí)行步驟S53。

步驟S53：采用默認(rèn)值0，不做任何處理。

步驟S54：將特征向量的對應(yīng)位設(shè)置為1，以此獲得待檢測程序的特征向量。

步驟S55:判斷待檢測程序的特征向量與所有檢測器的r連續(xù)距離值是否小于預(yù)先設(shè)定的閾值；如是，則待檢測程序為正常程序，否則，表明該程序被惡意程序檢測器識別，可以初步判斷待檢測程序為惡意程序。

進(jìn)一步的，步驟6所述由融合規(guī)則判斷待檢程序是否為惡意程序還包括以下步驟：

步驟S61：取辨識框架Θ為{B,M}，B為正常程序，M為惡意程序，有定義基本信任分配函數(shù)m:P({B,M})→[0,1],m(B)+m(M)＝1。其中，m(M)表示支持惡意程序的基本信任分配,m(B)表示支持正常程序的基本信任分配。

步驟S62：根據(jù)融合公式對多個惡意程序檢測方法的檢測結(jié)果的基本信任分配進(jìn)行融合，得到新的基本信任分配，即m_1...n(B)和m_1...n(M)，分別表示n個識別結(jié)果對正常程序，惡意程序的基本信任分配。

步驟S63：比較m_1...n(B)和m_1...n(M)這兩個值的大小，如果m_1...n(B)＞m_1...n(V)，則待檢測程序為正常程序，否則，為惡意程序。

進(jìn)一步的，步驟6所述對待檢測程序再進(jìn)行檢測的次數(shù)為2至5次，選取不同的len值生成的檢測器對待檢測程序再進(jìn)行檢測的次數(shù)不宜太少，太少不利于進(jìn)行多結(jié)果融合判斷，也不宜太多，太多則增加檢測時間，因此再進(jìn)行檢測的次數(shù)為2至5次為宜。

本發(fā)明的有益效果為：

1、通過構(gòu)建基因庫，然后生成正常程序的特征空間，進(jìn)而產(chǎn)生覆蓋惡意程序空間的檢測器來實現(xiàn)對惡意程序的檢測，有效避免了惡意程序特征碼的提取和龐大特征庫的維護(hù)。

2、本發(fā)明具有檢測未知惡意程序的能力，由于本發(fā)明通過構(gòu)建正常程序的特征向量空間，生成覆蓋惡意程序特征空間的檢測器，進(jìn)而實現(xiàn)對惡意程序的檢測,不需要提取未知惡意程序的特征碼，因此本發(fā)明具有良好的檢測未知惡意程序和已知惡意程序變種的能力。

3、本發(fā)明可以提高惡意程序檢測的準(zhǔn)確率，由于本發(fā)明是對多個(或者是多種檢測方法的)檢測結(jié)果進(jìn)行綜合評判，因此本發(fā)明可以提高惡意程序檢測的準(zhǔn)確率。

附圖說明

圖1為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法的系統(tǒng)框架圖。

圖2為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法生成不同長度字符串集合的流程圖。

圖3為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法對不同長度基因庫進(jìn)行大小削減的流程圖。

圖4為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法構(gòu)建正常程序向量空間的流程圖。

圖5為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法生成惡意程序檢測器的流程圖。

圖6為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法對待檢測程序進(jìn)行初步判斷的流程圖。

圖7為本發(fā)明一種融合多檢測結(jié)果的惡意程序檢測方法對待檢測程序進(jìn)行融合判定的流程圖。

具體實施方式

為了更加清楚地理解本發(fā)明的目的、技術(shù)方案及有益效果，下面結(jié)合附圖對本發(fā)明做進(jìn)一步的說明，但并不將本發(fā)明的保護(hù)范圍限定在以下實施例中。

如圖1所示,本發(fā)明的一種融合多檢測結(jié)果的惡意程序檢測方法包括如下步驟：

步驟1、在收集計算機(jī)系統(tǒng)中的正常程序，構(gòu)成正常程序集合Bp，以安全的方式收集一部分有代表性的惡意程序構(gòu)成惡意程序集Mp；在正常程序集合Bp中選取一部分常見的程序構(gòu)成正常程序子集Bp1，在惡意程序集合Bp中選取一部分常見的程序構(gòu)成惡意程序子集Mp1；在正常程序子集Bp1和惡意程序子集Mp1中提取長度為len的、不重復(fù)的十六進(jìn)制字符串，并將其添加到字符串集合中。可以根據(jù)不同長度的len構(gòu)建不同長度字符串集合，具體如圖2所示，可以按以下步驟構(gòu)建:步驟S11、對正常程序子集Bp1和惡意程序子集Mp1中的每一個程序p，從它的開始位置每次滑動一個字節(jié)，依次提取長度為len的十六進(jìn)制字符串，直至程序結(jié)尾為止；步驟S12、對提取到的每一個十六進(jìn)制字符串進(jìn)行判定其是否出現(xiàn)在長度為len的字符串集合中，若是，表明已經(jīng)存在基因集中，則執(zhí)行步驟S13；若否，則表明基因集中不存在此字符串，則執(zhí)行步驟S14；步驟S13、丟棄。步驟S14、將此字符串加入到字符串集合中；步驟S15：改變基因長度len的值，重復(fù)以上操作，得到不同長度的字符串集合，通常len的取值范圍為2至20字符；例如第一次提取時基因長度len的值為2，則其下一次提取時的基因長度len的值為3。

步驟S2、計算每個字符串的信息增益，選取特定數(shù)量的字符串構(gòu)成基因庫：即計算字符串集合中的每個十六進(jìn)制字符串的信息增益值，然后按信息增益從大到小按降序進(jìn)行排序，信息增益量較大的100-2000個十六進(jìn)制字符串構(gòu)成基因庫。忽略信息增益值小的十六進(jìn)制串是因為隨著len值的增大，從程序中提取的十六進(jìn)制字符串組成的基因庫也成指數(shù)級增長，使得提取程序特征的效率降低；因此，有必要對每個字符串集合大小進(jìn)行削減。如圖3所示,為不同長度字符串集合大小進(jìn)行削減的步驟包括:步驟S21：定義信息增益IG(Information Gain)為：

其中，C_i＝{Bp,Mp}，Str表示提取的十六進(jìn)制字符串,v_Str＝1表示字符串在程序中出現(xiàn)，否則v_Str＝0，P(v_Str,C)為字符串取值為v_Str時在集合C中的比例，P(v_Str)為Str取值為v_Str時在整個測試集中的比例，P(C)表示程序?qū)儆贑的概率；對長度相同的字符串集合中的每一個字符串，按照上式計算其信息增益的值；步驟S22：對信息增益按照降序進(jìn)行排列，選取信息增益值較大的N個十六進(jìn)制字符串作為基因庫，基因庫的大小N取值范圍為：100-2000，基因越短，則基因庫的大小可適當(dāng)取大一些，反之，基因越長，則基因庫的大小可以適當(dāng)取小一些，以確保檢測的效率；步驟S23：對不同長度字符串集合重復(fù)以上操作，通過對不同長度的字符串集合的大小進(jìn)行削減后得到不同長度的基因庫。

步驟S3、基于步驟S2建立的基因庫，對計算機(jī)系統(tǒng)中的正常程序提取特征，建立特征向量，并進(jìn)一步構(gòu)建在當(dāng)前基因庫下的正常程序的向量空間。為正常程序集中的每個程序構(gòu)建一個與基因庫大小相同維數(shù)的特征向量，也就是對正常程序進(jìn)行特征抽取，所有的正常程序的特征向量構(gòu)建正常程序狀態(tài)空間，如圖4所示，具體的步驟包括:步驟S31：對每一個正常程序集合中的程序從第一個字節(jié)開始，提取長度為len的十六進(jìn)制字符串,每次向后滑動一個字節(jié)，直到文件結(jié)尾為止；步驟S32、判斷長度為len的基因庫中是否存在提取的十六進(jìn)制字符串；若是，則說明提取的十六進(jìn)制字符串沒有出現(xiàn)在基因庫中，執(zhí)行步驟S34，若否，則說明提取的十六進(jìn)制字符串出現(xiàn)在了基因庫中，執(zhí)行步驟S33；步驟S33、采用默認(rèn)值0，不做任何處理；步驟S34、將特征向量的對應(yīng)位設(shè)置為1，特征向量的對應(yīng)位為1，表示該基因出現(xiàn)在程序中；由此，可獲得程序的特征向量(x₁,x₂,…,x_n)中的每一維的數(shù)值x_i(x_i∈{0,1},i＝1,…n)，經(jīng)程序特征提取后，所獲得的程序特征向量為一個大小與基因庫基因數(shù)量相等的二進(jìn)制字符串；步驟S35、對正常程序集合中的每個程序重復(fù)以上操作，則可以構(gòu)建正常程序在當(dāng)前基因庫下的正常程序向量空間；步驟S36、對正常程序集合中的所有程序依次用不同長度的基因庫進(jìn)行特征提取，構(gòu)建出不同長度基因庫下的正常程序向量空間。

步驟S4、基于步驟S3建立的正常程序向量空間，進(jìn)一步生成覆蓋惡意程序特征向量空間的惡意程序檢測器。具體而言，生成惡意程序檢測器可采用如圖5所示的步驟:步驟S41、隨機(jī)生成一個維數(shù)與基因庫基因數(shù)量相等的二進(jìn)制串，將其視為一個可能的檢測器，計算該檢測器與正常程序向量空間中的每個向量的r連續(xù)位距離值。步驟S42、判斷檢測器是否與所有正常程序向量空間中的向量的r連續(xù)位距離值是否小于預(yù)先設(shè)定的閾值，閾值的設(shè)定根據(jù)檢測的需要進(jìn)行設(shè)置，一般而言，閾值越小，檢測能力越強(qiáng)，模型的錯誤否定率越低，但是模型的錯誤肯定率則越高，為獲得滿意的檢測效果，用戶可以根據(jù)需要自行設(shè)定，如設(shè)定為10，若是，則說明該檢測器位于某個正常程序向量空間內(nèi)，執(zhí)行步驟S44，若否，由表明該檢測器與正常程序向量空間中的任一正常程序特征向量的r連續(xù)位距離均小于10，則說明該檢測器沒有處于正常程序空間內(nèi)，可以作為一個合法的檢測器，則執(zhí)行步驟S43；步驟S43、丟棄；步驟S44、加入檢測器集合；步驟45、判斷生成的檢測器數(shù)量是否達(dá)到預(yù)定的值，預(yù)定的值為300-5000，若是，則執(zhí)行步驟S46，若否，則執(zhí)行步驟S41繼續(xù)生成檢測器；步驟S46：對不同長度基因庫生成的正常程序向量空間，重復(fù)以上操作，產(chǎn)生與不同基因庫對應(yīng)的檢測器。

步驟S5、對每一個待檢測程序進(jìn)行特征提取,生成待檢測程序的特征向量,計算待檢測程序的特征向量與所有檢測器之間的r連續(xù)位距離,若存在一個r連續(xù)位距離大于或等于設(shè)定的閾值10,判定待檢測程序為惡意程序,否則為正常程序。具體而言,為更準(zhǔn)確的判定待檢程序是否為惡意程序，如圖6所示,對待檢測程序進(jìn)行檢測的步驟包括:步驟S51:對每一個待檢測程序從第一個字節(jié)開始，提取長度為len的十六進(jìn)制字符串,每次滑動一個字節(jié)，直到文件結(jié)尾為止。步驟S52，判斷長度為len基因庫中是否存在提取的十六進(jìn)制字符串；若是表明提取的十六進(jìn)制字符串出現(xiàn)在了基因庫中，執(zhí)行步驟S54，若否，則表明提取的十六進(jìn)制字符串沒有出現(xiàn)在基因庫中，執(zhí)行步驟S53；步驟S53：采用默認(rèn)值0，不做任何處理。步驟S54：將特征向量的對應(yīng)位設(shè)置為1，以此獲得待檢測程序的特征向量；步驟S55:判斷待檢測程序的特征向量與所有檢測器的r連續(xù)距離值是否小于預(yù)先設(shè)定的閾值10；如是，則待檢測程序為正常程序，否則，表明該程序被惡意程序檢測器識別，可以初步判斷待檢測程序為惡意程序。

步驟S6、由融合規(guī)則判斷待檢程序是否為惡意程序：在步驟S1采用不同的len值，通過步驟S2得到不同長度的基因庫，重復(fù)步驟S3至步驟S5，對待檢測程序再次進(jìn)行檢測,得到新的檢測結(jié)果，并至少重復(fù)一次，最好是2至5次，再次得到新的檢索結(jié)果，根據(jù)多個檢測結(jié)果，如圖7所示，根據(jù)融合規(guī)則，由以下步驟進(jìn)行融合判斷，步驟S61：取辨識框架Θ為{B,M}，B為正常程序，M為惡意程序，有定義基本信任分配函數(shù)m:P({B,M})→[0,1],m(B)+m(M)＝1。其中，m(M)表示支持惡意程序的基本信任分配,m(B)表示支持正常程序的基本信任分配；步驟S62：根據(jù)融合公式對多個惡意程序檢測方法的檢測結(jié)果的基本信任分配進(jìn)行融合，得到新的基本信任分配，即m_1...n(B)和m_1...n(M)，分別表示n個識別結(jié)果對正常程序，惡意程序的基本信任分配；步驟S63：比較m_1...n(B)和m_1...n(M)這兩個值的大小，如果m_1...n(B)＞m_1...n(V)，則待檢測程序為正常程序，否則，為惡意程序。

通過上述步驟，本發(fā)明的技術(shù)方案可成功通過構(gòu)建基因庫，然后生成正常程序的特征空間，進(jìn)而產(chǎn)生覆蓋惡意程序空間的檢測器來實現(xiàn)對惡意程序的檢測，有效避免了惡意程序特征碼的提取和龐大特征庫的維護(hù),同時，通過融合多個惡意程序的檢測結(jié)果，再次進(jìn)行綜合評判，進(jìn)一步提高惡意程序檢測的準(zhǔn)確率。

以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實施例的限制，上述實施例和說明書中描述的只是說明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。